Mengumpulkan log AWS CloudTrail
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan langkah-langkah untuk mengonfigurasi penyerapan log dan data konteks AWS CloudTrail ke Google Security Operations. Langkah-langkah ini juga berlaku untuk proses transfer log dari layanan AWS lainnya, seperti AWS GuardDuty, AWS VPC Flow, AWS CloudWatch, dan AWS Security Hub.
Untuk menyerap log peristiwa, konfigurasi mengarahkan log CloudTrail ke bucket Amazon Simple Storage Service (Amazon S3). Anda memiliki opsi untuk memilih Amazon Simple Queue Service (Amazon SQS) atau Amazon S3 sebagai jenis sumber feed.
Bagian pertama dokumen ini memberikan langkah-langkah ringkas untuk menggunakan Amazon S3 sebagai jenis sumber feed atau, sebaiknya menggunakan Amazon S3 dengan Amazon SQS sebagai jenis sumber feed. Bagian kedua memberikan langkah-langkah yang lebih mendetail dengan screenshot untuk menggunakan Amazon S3 sebagai jenis sumber feed. Penggunaan Amazon SQS tidak dibahas di bagian kedua. Bagian ketiga memberikan informasi tentang cara menyerap data konteks AWS tentang host, layanan, jaringan VPC, dan pengguna.
Langkah-langkah dasar untuk menyerap log dari S3 dengan atau tanpa SQS
Bagian ini menjelaskan langkah-langkah dasar untuk menyerap log AWS CloudTrail ke dalam instance Google Security Operations Anda. Langkah-langkah ini menjelaskan cara melakukannya menggunakan Amazon S3 dengan Amazon SQS sebagai jenis sumber feed atau, secara opsional, menggunakan Amazon S3 sebagai jenis sumber feed.
Mengonfigurasi AWS CloudTrail dan S3
Dalam prosedur ini, Anda mengonfigurasi log AWS CloudTrail untuk ditulis ke bucket S3.
- Di konsol AWS, telusuri CloudTrail.
- Klik Buat jalur.
- Berikan Nama jalur.
- Pilih Buat bucket S3 baru. Anda juga dapat memilih untuk menggunakan bucket S3 yang ada.
- Berikan nama untuk alias AWS KMS, atau pilih Kunci AWS KMS yang ada.
- Anda dapat membiarkan setelan lainnya sebagai default, lalu klik Berikutnya.
- Pilih Jenis peristiwa, tambahkan Peristiwa data sesuai kebutuhan, lalu klik Berikutnya.
- Tinjau setelan di Tinjau dan buat, lalu klik Buat rekaman aktivitas.
- Di konsol AWS, telusuri Amazon S3 Buckets.
- Klik bucket log yang baru dibuat, lalu pilih folder AWSLogs. Kemudian, klik Salin URI S3 dan simpan untuk digunakan di langkah-langkah berikut.
Membuat antrean SQS
Sebaiknya gunakan antrean SQS. Jika Anda menggunakan antrean SQS, antrean tersebut harus berupa antrean Standar, bukan antrean FIFO.
Untuk mengetahui detail tentang cara membuat antrean SQS, lihat Memulai Amazon SQS.
Menyiapkan notifikasi ke antrean SQS
Jika Anda menggunakan antrean SQS, siapkan notifikasi di bucket S3 untuk menulis ke antrean SQS. Pastikan untuk melampirkan kebijakan akses.
Mengonfigurasi pengguna AWS IAM
Konfigurasikan pengguna AWS IAM yang akan digunakan Google Security Operations untuk mengakses antrean SQS (jika digunakan) dan bucket S3.
- Di konsol AWS, telusuri IAM.
- Klik Pengguna,lalu di layar berikut, klik Tambahkan Pengguna.
- Berikan nama untuk pengguna, misalnya, chronicle-feed-user, Pilih jenis kredensial AWS sebagai Kunci akses - Akses terprogram, lalu klik Berikutnya: Izin.
- Pada langkah berikutnya, pilih Lampirkan kebijakan yang ada secara langsung dan pilih AmazonS3ReadOnlyAccess atau AmazonS3FullAccess, sesuai kebutuhan. AmazonS3FullAccess akan digunakan jika Google Security Operations harus menghapus bucket S3 setelah membaca log, untuk mengoptimalkan biaya penyimpanan AWS S3.
- Sebagai alternatif yang direkomendasikan untuk langkah sebelumnya, Anda dapat lebih membatasi akses hanya ke bucket S3 yang ditentukan dengan membuat kebijakan kustom. Klik Create policy dan ikuti dokumentasi AWS untuk membuat kebijakan kustom.
- Saat menerapkan kebijakan, pastikan Anda telah menyertakan
sqs:DeleteMessage. Google Security Operations tidak dapat menghapus pesan jika izinsqs:DeleteMessagetidak dilampirkan ke antrean SQS. Semua pesan dikumpulkan di sisi AWS, yang menyebabkan penundaan karena Google Security Operations berulang kali mencoba mentransfer file yang sama. - Klik Berikutnya:Tag.
- Tambahkan tag jika diperlukan, lalu klik Next:Review.
- Tinjau konfigurasi, lalu klik Buat pengguna.
- Salin ID kunci akses dan Kunci akses rahasia pengguna yang dibuat, untuk digunakan di langkah berikutnya.
Membuat feed
Setelah menyelesaikan prosedur sebelumnya, buat feed untuk menyerap log AWS dari bucket Amazon S3 ke instance Google Security Operations. Jika Anda tidak menggunakan antrean SQS, dalam prosedur berikut, pilih Amazon S3 untuk jenis sumber feed, bukan Amazon SQS.
Untuk membuat feed:
- Di menu navigasi, pilih Setelan > Setelan SIEM, lalu Feed.
- Di halaman Feeds, klik Add New.
- Di dialog Tambahkan feed, gunakan dialog Jenis sumber untuk memilih Amazon SQS atau Amazon S3.
- Di menu Jenis Log, pilih AWS CloudTrail (atau layanan AWS lainnya).
- Klik Berikutnya.
Masukkan parameter input untuk feed Anda di kolom.
Jika jenis sumber feed adalah Amazon S3, lakukan hal berikut:Pilih region dan berikan S3 URI bucket Amazon S3 yang Anda salin sebelumnya. Anda juga dapat menambahkan URI S3 menggunakan variabel.
{{datetime("yyyy/MM/dd")}}s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/Untuk URI IS A, pilih Directories including subdirectories. Pilih opsi yang sesuai di bagian Source Deletion Option. Pastikan izin tersebut cocok dengan izin akun Pengguna IAM yang Anda buat sebelumnya.
Berikan ID Kunci Akses dan Kunci Akses Rahasia dari akun pengguna IAM yang Anda buat sebelumnya.
Klik Berikutnya dan Selesai.
Langkah-langkah mendetail untuk menyerap log dari S3
Mengonfigurasi AWS CloudTrail (atau layanan lainnya)
Selesaikan langkah-langkah berikut untuk mengonfigurasi log AWS CloudTrail dan mengarahkan log ini untuk ditulis ke bucket AWS S3 yang dibuat dalam prosedur sebelumnya:
- Di konsol AWS, telusuri CloudTrail.
Klik Buat jalur.
Berikan Nama jalur.
Pilih Buat bucket S3 baru. Anda juga dapat memilih untuk menggunakan bucket S3 yang ada.
Berikan nama untuk alias AWS KMS, atau pilih Kunci AWS KMS yang ada.
Anda dapat membiarkan setelan lainnya sebagai default, lalu klik Berikutnya.
Pilih Jenis peristiwa, tambahkan Peristiwa data sesuai kebutuhan, lalu klik Berikutnya.
Tinjau setelan di Tinjau dan buat, lalu klik Buat rekaman aktivitas.
Di konsol AWS, telusuri Amazon S3 Buckets.
Klik bucket log yang baru dibuat, lalu pilih folder AWSLogs. Kemudian, klik Salin URI S3 dan simpan untuk digunakan di langkah-langkah berikut.
Mengonfigurasi Pengguna AWS IAM
Pada langkah ini, kita akan mengonfigurasi pengguna AWS IAM yang akan digunakan Google Security Operations untuk mendapatkan feed log dari AWS.
Di konsol AWS, telusuri IAM.
Klik Pengguna,lalu di layar berikut, klik Tambahkan Pengguna.
Berikan nama untuk pengguna, misalnya, chronicle-feed-user, Pilih jenis kredensial AWS sebagai Kunci akses - Akses terprogram, lalu klik Berikutnya: Izin.
Pada langkah berikutnya, pilih Lampirkan kebijakan yang ada secara langsung dan pilih AmazonS3ReadOnlyAccess atau AmazonS3FullAccess, sesuai kebutuhan. AmazonS3FullAccess akan digunakan jika Google Security Operations harus menghapus bucket S3 setelah membaca log, untuk mengoptimalkan biaya penyimpanan AWS S3. Klik Berikutnya:Tag.
Sebagai alternatif yang direkomendasikan untuk langkah sebelumnya, Anda dapat lebih membatasi akses hanya ke bucket S3 yang ditentukan dengan membuat kebijakan kustom. Klik Create policy dan ikuti dokumentasi AWS untuk membuat kebijakan kustom.
Tambahkan tag jika diperlukan, lalu klik Next:Review.
Tinjau konfigurasi, lalu klik Buat pengguna.
Salin ID kunci akses dan Kunci akses rahasia pengguna yang dibuat, untuk digunakan di langkah berikutnya.
Mengonfigurasi Feed di Google Security Operations untuk Mengambil Log AWS
- Buka setelan Google Security Operations, lalu klik Feed.
- Klik Tambahkan Baru.
- Pilih Amazon SQS atau Amazon S3 sebagai Jenis Sumber feed.
- Pilih AWS CloudTrail (atau layanan AWS lainnya) untuk Jenis Log.
- Klik Berikutnya.
Pilih region dan berikan S3 URI bucket Amazon S3 yang Anda salin sebelumnya. Selanjutnya, Anda dapat menambahkan URI S3 dengan:
{{datetime("yyyy/MM/dd")}}Seperti dalam contoh berikut, sehingga Google Security Operations akan memindai log setiap kali hanya untuk hari tertentu:
s3://aws-cloudtrail-logs-XXX-1234567/AWSLogs/1234567890/CloudTrail/us-east-1/{{datetime("yyyy/MM/dd")}}/Di bagian URI IS A, pilih Directories including subdirectories. Pilih opsi yang sesuai di bagian Opsi Penghapusan Sumber. Opsi ini harus cocok dengan izin akun Pengguna IAM yang kita buat sebelumnya.
Berikan ID Kunci Akses dan Kunci Akses Rahasia dari akun Pengguna IAM yang kita buat sebelumnya.
Klik Berikutnya dan Selesai.
Langkah-langkah untuk menyerap data konteks AWS
Untuk menyerap data konteks tentang entitas AWS (seperti host, instance, dan pengguna), buat feed untuk setiap jenis log berikut, yang tercantum berdasarkan deskripsi dan label penyerapan:
- HOST AWS EC2 (
AWS_EC2_HOSTS) - AWS EC2 INSTANCES (
AWS_EC2_INSTANCES) - VPC AWS EC2 (
AWS_EC2_VPCS) - AWS Identity and Access Management (IAM) (
AWS_IAM)
Untuk membuat feed untuk setiap jenis log ini, lakukan tindakan berikut:
- Di menu navigasi, pilih Setelan, Setelan SIEM, lalu Feed.
- Di halaman Feeds, klik Add New. Dialog Tambahkan feed akan muncul.
- Di menu Source type, pilih Third party API.
- Pada menu Log Type, pilih AWS EC2 Hosts.
- Klik Berikutnya.
- Masukkan parameter input untuk feed di kolom.
- Klik Next, lalu Finish.
Untuk mengetahui informasi selengkapnya tentang cara menyiapkan feed untuk setiap jenis log, lihat dokumentasi Pengelolaan feed berikut:
- HOST AWS EC2 (
AWS_EC2_HOSTS) - AWS EC2 INSTANCES (
AWS_EC2_INSTANCES) - AWS EC2 VPCS (
AWS_EC2_VPCS) - AWS Identity and Access Management (IAM) (
AWS_IAM)
Untuk informasi umum tentang cara membuat feed, lihat Panduan pengguna pengelolaan feed atau Feed management API.
Referensi pemetaan kolom
Kode parser ini memproses log AWS CloudTrail dalam format JSON. Pertama, fungsi ini mengekstrak dan menyusun pesan log mentah, lalu melakukan iterasi melalui setiap kumpulan data dalam array "Kumpulan data", yang menormalisasi peristiwa tunggal ke dalam format yang sama dengan multi-peristiwa. Terakhir, alat ini memetakan kolom yang diekstrak ke skema UDM Google Security Operations, yang memperkaya data dengan konteks tambahan dan informasi yang relevan dengan keamanan.
Tabel Pemetaan UDM
| Kolom log | Pemetaan UDM | Logika |
|---|---|---|
| Records.0.additionalEventData .AuthenticationMethod |
additional.fields .AuthenticationMethod.value.string_value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.additionalEventData .CipherSuite |
additional.fields .CipherSuite.value.string_value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.additionalEventData .LoginTo |
additional.fields .LoginTo.value.string_value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.additionalEventData .MFAUsed |
extensions.auth.auth_details | Jika nilainya "Ya", kolom UDM ditetapkan ke "MFAUsed: Yes". Jika tidak, nilai ini akan ditetapkan ke "MFAUsed: No". |
| Records.0.additionalEventData .MobileVersion |
additional.fields .MobileVersion.value.string_value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.additionalEventData .SamlProviderArn |
additional.fields .SamlProviderArn.value.string_value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.additionalEventData .SignatureVersion |
additional.fields .SignatureVersion.value.string_value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.additionalEventData .bytesTransferredIn |
network.received_bytes | Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi bilangan bulat tanpa tanda tangan. |
| Records.0.additionalEventData .bytesTransferredOut |
network.sent_bytes | Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi bilangan bulat tanpa tanda tangan. |
| Records.0.additionalEventData .x-amz-id-2 |
additional.fields .x-amz-id-2.value.string_value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.awsRegion | principal.location.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.awsRegion | target.location.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.errorCode | security_result.rule_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.errorMessage | security_result.description | Kolom UDM ditetapkan ke "Alasan: " yang digabungkan dengan nilai dari kolom log mentah. |
| Records.0.eventCategory | security_result.category_details | Pemetaan langsung dari kolom log mentah. |
| Records.0.eventID | metadata.product_log_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.eventName | metadata.product_event_type | Pemetaan langsung dari kolom log mentah. |
| Records.0.eventName | _metadata.event_type | Dipetakan berdasarkan nilai kolom log mentah. Lihat kode parser untuk pemetaan tertentu. |
| Records.0.eventSource | target.application | Pemetaan langsung dari kolom log mentah. |
| Records.0.eventSource | metadata.ingestion_labels.EventSource | Pemetaan langsung dari kolom log mentah. |
| Records.0.eventTime | metadata.event_timestamp | Pemetaan langsung dari kolom log mentah, yang diuraikan sebagai stempel waktu ISO8601. |
| Records.0.eventVersion | metadata.product_version | Pemetaan langsung dari kolom log mentah. |
| Records.0.managementEvent | additional.fields.ManagementEvent .value.string_value |
Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string. |
| Records.0.readOnly | additional.fields.ReadOnly .value.string_value |
Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string. |
| Records.0.recipientAccountId | principal.user.group_identifiers | Pemetaan langsung dari kolom log mentah. |
| Records.0.recipientAccountId | target.resource.attribute .labels.Recipient Account Id.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestID | target.resource.attribute .labels.Request ID.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters | target.resource.attribute .labels |
Berbagai kolom dalam requestParameters dipetakan ke label dalam atribut resource target. Lihat kode parser untuk pemetaan tertentu. |
| Records.0.requestParameters> .AccessControlPolicy.AccessControlList .Grant.0.Grantee.URI |
target.resource.attribute .labels.AccessControlList Grantee URI.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.1.Grantee.URI |
target.resource.attribute .labels.AccessControlList Grantee URI.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.2.Grantee.URI |
target.resource.attribute .labels.AccessControlList Grantee URI.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.3.Grantee.URI |
target.resource.attribute .labels.AccessControlList Grantee URI.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters .AccessControlPolicy.AccessControlList .Grant.4.Grantee.URI |
target.resource.attribute .labels.AccessControlList Grantee URI.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.BlockPublicAcls |
target.resource.attribute .labels.BlockPublicAcls.value |
Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string. |
| Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.BlockPublicPolicy |
target.resource.attribute .labels.BlockPublicPolicy.value |
Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string. |
| Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.IgnorePublicAcls |
target.resource.attribute .labels.IgnorePublicAcls.value |
Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string. |
| Records.0.requestParameters .CreateAccessPointRequest. PublicAccessBlockConfiguration.RestrictPublicBuckets |
target.resource.attribute .labels.RestrictPublicBuckets.value |
Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string. |
| Records.0.requestParameters .PublicAccessBlockConfiguration.BlockPublicAcls |
target.resource.attribute .labels.BlockPublicAcls.value |
Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string. |
| Records.0.requestParameters .PublicAccessBlockConfiguration.BlockPublicPolicy |
target.resource.attribute .labels.BlockPublicPolicy.value |
Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string. |
| Records.0.requestParameters .PublicAccessBlockConfiguration.IgnorePublicAcls |
target.resource.attribute .labels.IgnorePublicAcls.value |
Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string. |
| Records.0.requestParameters .PublicAccessBlockConfiguration.RestrictPublicBuckets |
target.resource.attribute .labels.RestrictPublicBuckets.value |
Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string. |
| Records.0.requestParameters.accessKeyId | target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.allocationId | target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.associationId | target.resource.attribute .labels.requestParameters associationId.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.certificateId | target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters .configurationRecorder.name |
target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters .configurationRecorderName |
target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters .createVolumePermission.add.items.0.group |
target.resource.attribute .labels.Add Items Group.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters .createVolumePermission.add.items.0.userId |
target.resource.attribute .labels.Add Items UserId.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters .createVolumePermission.remove.items.0.userId |
target.resource.attribute .labels.Remove Items UserId.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.detectorId | target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.destinationId | target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.directoryId | target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.documentName | target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.egress | target.resource.attribute .labels.requestParameters egress.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.emailIdentity | target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.enabled | target.resource.attribute .labels.Request Enabled.value |
Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string. |
| Records.0.requestParameters .filterSet.items.0 .valueSet.items.0.value |
target.resource.attribute .labels.requestParameters .filterSet.items.0.valueSet .items.0.value.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.functionName | target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters .granteePrincipal |
principal.hostname | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters .granteePrincipal |
principal.asset.hostname | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.groupId | target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.groupName | target.group.group_display_name | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.imageId | target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.instanceId | target.resource_ancestors.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters .instanceProfileName |
target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.instanceType | target.resource.attribute .labels.Instance Type.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters .instancesSet.items.0.instanceId |
target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters .instancesSet.items.0.maxCount |
target.resource.attribute .labels.Instance Set Max Count.value |
Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string. |
| Records.0.requestParameters .instancesSet.items.0.minCount |
target.resource.attribute .labels.Instance Set Min Count.value |
Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string. |
| Records.0.requestParameters .ipPermissions.items.0 .ipRanges.items.0.cidrIp |
target.resource.attribute .labels.ipPermissions cidrIp.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters .ipPermissions.items.0 .ipv6Ranges.items.0.cidrIpv6 |
target.resource.attribute .labels.ipPermissions cidrIpv6.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters .ipPermissions.items.1 .ipv6Ranges.items.0.cidrIpv6 |
target.resource.attribute .labels.ipPermissions cidrIpv6.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.keyId | target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters. launchPermission.add.items.0.group |
target.resource.attribute .labels.Add Items Group.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters. launchPermission.add.items .0.organizationalUnitArn |
target.resource.attribute.labels .Add Items OrganizationalUnitArn .value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters. launchPermission.add.items .0.userId |
target.resource.attribute .labels.Add Items UserId.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters. launchPermission.remove.items .0.organizationalUnitArn |
target.resource.attribute.labels .Remove Items OrganizationalUnitArn .value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters. launchPermission.remove.items .0.userId |
target.resource.attribute .labels.Remove Items UserId.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.loadBalancerArn | target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.logGroupIdentifier | target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.logGroupName | target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.name | target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.name | target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.networkAclId | target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters .networkInterfaceId |
target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.parentId | target.resource_ancestors.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.policyArn | target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters .policyArns.0.arn |
target.resource.attribute .labels.Policy ARN 0.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters .policyArns.1.arn |
target.resource.attribute .labels.Policy ARN 1.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.policyName | target.resource.attribute .permissions.name |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.policyName | target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.principalArn | principal.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.publicKeyId | target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.RegionName | target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.RegionName | target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.roleName | target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.sAMLProviderArn | target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.secretId | target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.serialNumber | target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters .serviceSpecificCredentialId |
target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.sendingEnabled | target.resource.attribute .labels.Request Sending Enabled.value |
Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string. |
| Records.0.requestParameters.snapshotId | target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.sSHPublicKeyId | target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.stackName | target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.status | target.resource.attribute .labels.Request Parameter Status.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.subnetId | target.resource.attribute .labels.Subnet Id.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters .targets.0.InstanceIds |
target.resource.attribute .labels.requestParameters.targets .0.InstanceIds.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters .targets.0.key |
target.resource.attribute .labels.requestParameters.targets.0.key.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.trailName | target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.userName | target.user.userid | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.volumeId | target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.requestParameters.withDecryption | security_result.detection_fields .withDecryption.value |
Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string. |
| Records.0.responseElements | target.resource.attribute.labels | Berbagai kolom dalam responseElements dipetakan ke label dalam atribut resource target. Lihat kode parser untuk pemetaan tertentu. |
| Records.0.responseElements.accessKey.accessKeyId | target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements.accessKey.status | target.resource.attribute .labels.Response Access Key Status.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements.accessKey.userName | target.user.userid | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements.allocationId | target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .certificate.certificateId |
target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .certificate.status |
target.resource.attribute .labels.Certificate Status.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .certificate.userName |
target.user.userid | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .credentials.accessKeyId |
target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .credentials.sessionToken |
security_result.detection_fields .sessionToken.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .createAccountStatus.accountId |
target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .createAccountStatus.accountName |
target.user.user_display_name | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .createAccountStatus.accountName |
target.user.user_display_name | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .createAccountStatus.accountName |
target.user.user_display_name | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .createCollectionDetail.arn |
target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .createCollectionDetail.id |
target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .deleteCollectionDetail.id |
target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements.description | target.resource.attribute .labels.Response Elements Description.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements.destinationId | target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements.detectorId | target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements.directoryId | target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .domainStatus.aRN |
target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .domainStatus.domainId |
target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .federatedUser.arn |
target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .federatedUser.federatedUserId |
target.user.userid | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .firewall.firewallArn |
target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .firewall.firewallId |
target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .firewall.firewallName |
target.resource.attribute .labels.Firewall Name.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .flowLogIdSet.item |
target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements.functionArn | target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .group.arn |
target.group.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .group.groupName |
target.group.group_display_name | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .iamInstanceProfileAssociation.instanceId |
target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .iamInstanceProfileAssociation.instanceId |
target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .image.imageId.imageDigest |
src.file.sha256 | Kolom UDM ditetapkan ke nilai setelah "sha256:" di kolom log mentah. |
| Records.0.responseElements .image.imageManifestMediaType |
src.file.mime_type | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements.instanceArn | target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .instanceProfile.arn |
target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .instancesSet.items.0.instanceId |
target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements.keyId | target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .keyMetadata.arn |
target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .keyMetadata.encryptionAlgorithms |
security_result.detection_fields .encryptionAlgorithm.value |
Kolom UDM ditetapkan ke nilai setiap elemen dalam array dari kolom log mentah. |
| Records.0.responseElements .keyMetadata.keyId |
target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements.keyPairId | target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .listeners.0.listenerArn |
target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .listeners.0.loadBalancerArn |
target.resource.ancestors.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .loadBalancers.0.loadBalancerArn |
target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements.newAssociationId | target.resource.attribute.labels .responseElements newAssociationId.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements.packedPolicySize | security_result.detection_fields .packedPolicySize.value |
Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string. |
| Records.0.responseElements .publicKey.publicKeyId |
target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements.sAMLProviderArn | target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .sSHPublicKey.sSHPublicKeyId |
target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .sSHPublicKey.status |
target.resource.attribute .labels.SSH Public Key Status.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .securityGroupRuleSet.items.0.groupId |
security_result.rule_labels.Group Id.value | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .securityGroupRuleSet.items.0.ipProtocol |
network.ip_protocol | Pemetaan langsung dari kolom log mentah, yang dikonversi ke huruf besar. |
| Records.0.responseElements .securityGroupRuleSet.items.0.isEgress |
network.direction | Jika nilainya "false", kolom UDM akan ditetapkan ke "INBOUND". Jika tidak, nilai ini akan ditetapkan ke "KELUAR". |
| Records.0.responseElements .securityGroupRuleSet.items.0.securityGroupRuleId |
security_result.rule_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .serviceSpecificCredential.serviceName |
target.resource.attribute.labels .Specific Credential ServiceName .value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .serviceSpecificCredential.serviceSpecificCredentialId |
target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .serviceSpecificCredential.serviceUserName |
target.resource.attribute.labels .Specific Credential Service UserName .value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .serviceSpecificCredential.status |
target.resource.attribute .labels.Specific Credential Status.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .serviceSpecificCredential.userName |
target.user.userid | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements.snapshotId | target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements.stackId | target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .tableDescription.tableArn |
target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .tableDescription.tableId |
target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements.trailARN | target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .user.arn |
target.user.userid | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .user.userId |
target.user.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .user.userName |
target.user.user_display_name | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements .virtualMFADevice.serialNumber |
target.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.responseElements.volumeId | target.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.resources | target.resource | Elemen pertama dalam array resource dipetakan ke resource target. Elemen lainnya dipetakan ke kolom tentang. |
| Records.0.sharedEventID | additional.fields.SharedEventID .value.string_value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.sourceIPAddress | principal.asset.ip | Pemetaan langsung dari kolom log mentah. |
| Records.0.sourceIPAddress | principal.ip | Pemetaan langsung dari kolom log mentah. |
| Records.0.sourceIPAddress | src_ip | Pemetaan langsung dari kolom log mentah. |
| Records.0.tlsDetails.cipherSuite | network.tls.cipher | Pemetaan langsung dari kolom log mentah. |
| Records.0.tlsDetails.clientProvidedHostHeader | security_result.detection_fields .clientProvidedHostHeader.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.tlsDetails.tlsVersion | network.tls.version | Pemetaan langsung dari kolom log mentah. |
| Records.0.userAgent | network.http.user_agent | Pemetaan langsung dari kolom log mentah. |
| Records.0.userAgent | network.http.parsed_user_agent | Pemetaan langsung dari kolom log mentah, yang diuraikan sebagai string agen pengguna. |
| Records.0.userIdentity.accessKeyId | additional.fields.accessKeyId .value.string_value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.userIdentity.accountId | principal.resource.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.userIdentity.accountId | principal.user.group_identifiers | Pemetaan langsung dari kolom log mentah. |
| Records.0.userIdentity.arn | principal.resource.name | Pemetaan langsung dari kolom log mentah. |
| Records.0.userIdentity.arn | principal.user.userid | Pemetaan langsung dari kolom log mentah. |
| Records.0.userIdentity.arn | target.user.attribute .labels.ARN.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.userIdentity.invokedBy | principal.user.userid | Kolom UDM ditetapkan ke nilai sebelum ".amazonaws.com" di kolom log mentah. |
| Records.0.userIdentity.principalId | principal.user.product_object_id | Pemetaan langsung dari kolom log mentah. |
| Records.0.userIdentity.principalId | principal.user.attribute .labels.principalId.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.userIdentity .sessionContext.attributes.mfaAuthenticated |
principal.user.attribute .labels.mfaAuthenticated.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.userIdentity .sessionContext.sessionIssuer.arn |
target.user.attribute .labels.ARN.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.userIdentity .sessionContext.sessionIssuer.principalId |
target.user.userid | Pemetaan langsung dari kolom log mentah. |
| Records.0.userIdentity .sessionContext.sessionIssuer.type |
target.user.attribute .labels.Type.value |
Pemetaan langsung dari kolom log mentah. |
| Records.0.userIdentity .sessionContext.sessionIssuer.userName |
target.user.user_display_name | Pemetaan langsung dari kolom log mentah. |
| Records.0.userIdentity.type | principal.resource.resource_subtype | Pemetaan langsung dari kolom log mentah. |
| Records.0.userIdentity.type | principal.resource.type | Pemetaan langsung dari kolom log mentah. |
| Records.0.userIdentity.userName | principal.user.user_display_name | Pemetaan langsung dari kolom log mentah. |
| Records.0.userIdentity.userName | src.user.userid | Pemetaan langsung dari kolom log mentah. |
| Records.0.userIdentity.userName | src.user.user_display_name | Pemetaan langsung dari kolom log mentah. |
| Records.0.userIdentity.userName | target.user.user_display_name | Pemetaan langsung dari kolom log mentah. |
| Records.1.additionalEventData .AuthenticationMethod |
additional.fields.AuthenticationMethod .value.string_value |
Pemetaan langsung dari kolom log mentah. |
| Records.1.additionalEventData .CipherSuite |
additional.fields.CipherSuite .value.string_value |
Pemetaan langsung dari kolom log mentah. |
| Records.1.additionalEventData .LoginTo |
additional.fields.LoginTo .value.string_value |
Pemetaan langsung dari kolom log mentah. |
| Records.1.additionalEventData .MFAUsed |
extensions.auth.auth_details | Jika nilainya "Ya", kolom UDM ditetapkan ke "MFAUsed: Yes". Jika tidak, nilai ini akan ditetapkan ke "MFAUsed: No". |
| Records.1.additionalEventData .MobileVersion |
additional.fields.MobileVersion .value.string_value |
Pemetaan langsung dari kolom log mentah. |
| Records.1.additionalEventData .SamlProviderArn |
additional.fields.SamlProviderArn .value.string_value |
Pemetaan langsung dari kolom log mentah. |
| Records.1.additionalEventData .SignatureVersion |
additional.fields.SignatureVersion .value.string_value |
Pemetaan langsung dari kolom log mentah. |
| Records.1.additionalEventData .bytesTransferredIn |
network.received_bytes | Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi bilangan bulat tanpa tanda tangan. |
| Records.1.additionalEventData .bytesTransferredOut |
network.sent_bytes | Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi bilangan bulat tanpa tanda tangan. |
| Records.1.additionalEventData .x-amz-id-2 |
additional.fields.x-amz-id-2 .value.string_value |
Pemetaan langsung dari kolom log mentah. |
| Records.1.awsRegion | principal.location.name | Pemetaan langsung dari kolom log mentah. |
| Records.1.awsRegion | target.location.name | Pemetaan langsung dari kolom log mentah. |
| Records.1.errorCode | security_result.rule_id | Pemetaan langsung dari kolom log mentah. |
| Records.1.errorMessage | security_result.description | Kolom UDM ditetapkan ke "Alasan: " yang digabungkan dengan nilai dari kolom log mentah. |
| Records.1.eventCategory | security_result.category_details | Pemetaan langsung dari kolom log mentah. |
| Records.1.eventID | metadata.product_log_id | Pemetaan langsung dari kolom log mentah. |
| Records.1.eventName | metadata.product_event_type | Pemetaan langsung dari kolom log mentah. |
| Records.1.eventName | _metadata.event_type | Dipetakan berdasarkan nilai kolom log mentah. Lihat kode parser untuk pemetaan tertentu. |
| Records.1.eventSource | target.application | Pemetaan langsung dari kolom log mentah. |
| Records.1.eventSource | metadata.ingestion_labels.EventSource | Pemetaan langsung dari kolom log mentah. |
| Records.1.eventTime | metadata.event_timestamp | Pemetaan langsung dari kolom log mentah, yang diuraikan sebagai stempel waktu ISO8601. |
| Records.1.eventVersion | metadata.product_version | Pemetaan langsung dari kolom log mentah. |
| Records.1.managementEvent | additional.fields.ManagementEvent .value.string_value |
Pemetaan langsung dari kolom log mentah, yang dikonversi menjadi string. |
| Records.1.readOnly | additional.fields.ReadOnly .value |
Perubahan
2024-07-30
- Memperbaiki pemetaan "src_ip" dan "event_type" untuk mengurai log baru.
2024-07-29
- Perbaikan Bug:
- Jika "eventName" adalah "GetLoginProfile", maka pemetaan "metadata.event_type" ke "RESOURCE_READ".
2024-07-24
- Mengubah pemetaan dari "recipientAccountId" menjadi "userIdentity.accountId" dan memetakan ke "additional.fields".
2024-07-23
- Memetakan "alert_emails" dan "owner_names" ke "target.resource.attribute.labels".
2024-07-09
- Memetakan "eventVersion" ke "metadata.product_version".
- Memetakan "userIdentity.principalId" ke "principal.user.attribute.labels".
- Memetakan "userIdentity.sessionContext.attributes.creationDate" ke "principal.user.attribute.creation_time".
- Memetakan "userIdentity.sessionContext.sessionIssuer.type" ke "target.user.attribute.labels".
- Memetakan "additionalEventData.bytesTransferredIn" ke "network.received_bytes".
- Memetakan "additionalEventData.bytesTransferredOut" ke "network.sent_bytes".
- Memetakan "managementEvent", "readOnly", "sharedEventID", "apiVersion", "additionalEventData.x-amz-id-2", "additionalEventData.SignatureVersion", "additionalEventData.AuthenticationMethod", "additionalEventData.CipherSuite", dan "additionalEventData.sub" ke "additional.fields".
2024-06-24
- Menambahkan dukungan untuk pola log JSON baru.
2024-06-24
- Memperbarui pemetaan dari "principal.resource.type" menjadi "principal.resource.resource_subtype" karena kolom "principal.resource.type" adalah kolom yang tidak digunakan lagi.
2024-05-21
- Jika "requestParameters.bucketPolicy.Statement.n.Resource" adalah array, maka pemetakan "requestParameters.bucketPolicy.Statement.n.Resource" ke "additional.fields".
2024-05-09
- Memetakan bagian "groupid" dari "principal.user.userid" ke "principal.user.groupid" dan "principal.user.group_identifiers" jika "userid" cocok dengan format "^arn:aws:sts::\d+:assumed-role\/\w+\/\w+$".
2024-04-30
- Memetakan "req.requestParameters.networkInterfaceSet.items.associatePublicIpAddress" ke "target.resource.attribute.labels".
2024-03-22
- Memetakan "Noun.user.userid" ke "Noun.user.product_object_id".
- Memetakan "RoleName" dari "userIdentity.arn" ke "principal.user.role_name" dan "principal.user.attribute.roles.name".
- Memetakan "PoicyName" dari "requestParameters.policyArn" ke "security_result.rule_name".
2024-03-04
- Untuk log yang memiliki "eventName" sebagai "TerminateInstances":
- Mempetakan Objek JSON "responseElements" ke "target.resource.attribute.labels".
- Memetakan "sessionCredentialFromConsole" ke "target.resource.attribute.labels".
- Untuk log dengan "eventName" adalah "CreateDomain","DeleteDomain","CreateCollection",
- "DeleteCollection","CreateDBCluster","DeleteDBCluster","StopDBCluster","StartDBCluster",
- "CreateCluster","DeleteCluster", "ListClusters", "CreateNodegroup", "DeleteNodegroup",
- "RegisterCluster", "DeregisterCluster", "DescribeCluster", "DescribeNodegroup", "ListNodegroups".
- Tetapkan "target.resource.resource_type" ke "CLUSTER".
2023-11-21
- Memetakan "awsRegion" ke "target.location.name".
- Untuk log yang memiliki "eventName" sebagai "PutBucketAcl", jika "userIdentity.arn" tidak ada, ubah "metadata.event_type" menjadi "STATUS_UPDATE".
- Untuk log yang memiliki "eventName" sebagai awalan "Get", "List", "Describe", "Detect", "Query", "Check", "Decode",
- "Dekripsi", "Download", "Ambil", "Baca", "Temukan", "Cari", "Pratinjau", "Pindai", "Pilih", "Klasifikasikan", "Tampilkan", "Lihat":
- Tetapkan "metadata.event_type" ke "RESOURCE_READ".
- Untuk log yang memiliki "eventName" sebagai awalan "Delete", "Terminate":
- Tetapkan "metadata.event_type" ke "RESOURCE_DELETION".
- Untuk log yang memiliki "eventName" sebagai awalan "Create", "Put", "Import", "Generate", "Allocate":
- Tetapkan "metadata.event_type" ke "RESOURCE_CREATION".
- Untuk log yang memiliki "eventName" sebagai awalan "Start", "Activate", "Reboot", "Initialize", "New":
- Tetapkan "metadata.event_type" ke "STATUS_STARTUP".
- Untuk log yang memiliki "eventName" sebagai awalan "Stop", "Cancel", "Disconnect":
- Tetapkan "metadata.event_type" ke "STATUS_SHUTDOWN".
- Untuk log yang memiliki "eventName" sebagai awalan "Test", "Accept", "Notify", "Request", "Validate", "Confirm", "Reject", "Verify", "Authorize", "Complete":
- Tetapkan "metadata.event_type" ke "STATUS_UPDATE".
- Untuk log yang memiliki "eventName" sebagai awalan "Assume", "ConsoleLogin":
- Tetapkan "metadata.event_type" ke "USER_LOGIN".
- Untuk log yang memiliki "eventName" sebagai "SendHeartbeat":
- Tetapkan "metadata.event_type" ke "STATUS_HEARTBEAT".
- Untuk log yang memiliki "eventName" sebagai awalan "Initiate", "Publish", "Replace", "Resume", "Run", "Submit", "Suspend",
- "Alter", "Increase", "Invite", "Provision", "Refresh", "Report", "Upgrade", "Abort", "Apply", "Backup", "Decrease",
- "Gabungkan", "Coba lagi", "Putar", "Rotasi", "Transfer", "Batalkan penetapan", "Analisis", "Arsipkan", "Beta_", "Hapus", "Konfigurasi",
- "Confirm_", "Do", "Evaluate", "Failover", "Forgot", "Lock", "Migrate", "O", "Process", "Promote", "Release", "Renew",
- "Tanda tangani", "Batalkan pengarsipan", "Batalkan penghentian penggunaan", "Buka kunci", "Konfirmasi", "Setujui", "Hubungkan", "Lanjutkan", "Tolak", "Deploy",
- "Diagnostik", "Drop", "Keluar", "Selesaikan", "Hapus", "Lupakan", "Berikan", "Masalah", "Logout", "Pindahkan", "Pilih", "Jeda",
- "Build ulang", "Tukar", "Replikasi", "Mulai ulang", "S", "Simpan", "Berlangganan", "Sinkronkan", "Batalkan tautan", "Berhenti berlangganan", "Batalkan penangguhan",
- "Allow", "Ato", "Back", "Backtrack", "Bid", "Bind", "Build", "Bundle", "Clone", "Close", "Cognito", "Console", "Dispose",
- "Dissociate", "End", "Enroll", "Enter", "Environment", "Event_", "Exclude", "Global", "Include", "Index", "Insert", "Install",
- "Invalidate", "Join", "Leave", "Load", "Managed", "Mark", "Monitor", "Peer", "Persist", "Prepare", "Pubkey", "Purge", "Push",
- "Rebalance", "Record", "Recovery", "Redact", "Refuse", "Reinvite", "Reload", "Rename", "Respond", "Resync", "Retire", "Reverse",
- "Rollback", "Schedule", "Secret", "Shutdown", "Signal", "Skip", "Split", "Stream", "Swap", "Switch", "Toggle", "Token_",
- "Terjemahkan", "Pangkas", "Batalkan otorisasi", "Batalkan deployment", "Batalkan pemantauan", "Batalkan peer", "Gunakan":
- Tetapkan "metadata.event_type" ke "RESOURCE_WRITTEN".
- Untuk log yang memiliki "eventName" sebagai awalan "Update", "Associate", "Disassociate", "Modify", "Set", "Register", "Deregister",
- "Tambahkan", "Hapus", "Aktifkan", "Nonaktifkan", "Kirim", "Pulihkan", "Reset", "Lampirkan", "Lepaskan", "Ekspor", "Salin", "Beri tag",
- "Hapus tag", "Jalankan", "Beli", "Alokasikan", "Nonaktifkan", "Posting", "Kirim ulang", "Upload", "Tetapkan", "Ubah", "Tentukan",
- "Deprecate", "Invoke", "Revoke:
- Tetapkan "metadata.event_type" ke "RESOURCE_PERMISSIONS_CHANGE".
2023-11-11
- Lakukan inisialisasi variabel ke null atau kosong, untuk menghindari pemetaan duplikat.
- Jika "requestParameters.tagSpecificationSet.items.key" adalah "Hostname" , petakan ke "target.hostname".
2023-10-27
- Untuk log yang memiliki "eventName" sebagai "AssociateIamInstanceProfile":
- Memetakan "responseElements.AssociateIamInstanceProfileResponse.iamInstanceProfileAssociation.instanceid" ke "target.resource.name".
- Memetakan "responseElements.AssociateIamInstanceProfileResponse.iamInstanceProfileAssociation.instanceid" ke "target.resource.product_object_id".
- Tetapkan "metadata.event_type" ke "RESOURCE_PERMISSIONS_CHANGE".
- Tetapkan "target.resource.resource_type" ke "ACCESS_POLICY".
- Untuk log yang memiliki "eventName" sebagai "DisassociateIamInstanceProfile":
- Memetakan "responseElements.DisassociateIamInstanceProfileResponse.iamInstanceProfileAssociation.instanceid" ke "target.resource.name".
- Memetakan "responseElements.DisassociateIamInstanceProfileResponse.iamInstanceProfileAssociation.instanceid" ke "target.resource.product_object_id".
- Tetapkan "metadata.event_type" ke "RESOURCE_PERMISSIONS_CHANGE".
- Tetapkan "target.resource.resource_type" ke "ACCESS_POLICY".
- Untuk log yang memiliki "eventName" sebagai "ReplaceIamInstanceProfileAssociation":
- Memetakan "responseElements.ReplaceIamInstanceProfileAssociationResponse.iamInstanceProfileAssociation.instanceid" ke "target.resource.name".
- Memetakan "responseElements.ReplaceIamInstanceProfileAssociationResponse.iamInstanceProfileAssociation.instanceid" ke "target.resource.product_object_id".
- Tetapkan "metadata.event_type" ke "RESOURCE_PERMISSIONS_CHANGE".
- Tetapkan "target.resource.resource_type" ke "ACCESS_POLICY".
- Mempetakan Objek JSON "requestParameters" dan "responseElements" ke "target.resource.attribute.labels".
- Memperbaiki error salah ketik untuk "req.userIdentity.userName" dari "req.userIdentity.username".
2023-10-13
- Untuk log yang memiliki "eventName" sebagai "UpdateDetector":
- Memetakan "requestParameters.features.name" dan "requestParameters.features.status" ke "target.resource.attribute.labels".
- Untuk log yang memiliki "eventName" sebagai "SendCommand":
- Memetakan "requestParameters.documentName" ke "target.resource.product_object_id".
- Memetakan "responseElements.command.commandId" ke "target.process.product_specific_object.id".
- Memetakan "metadata.event_type" ke "PROCESS_LAUNCH".
- Memetakan "requestParameters.documentName" ke "target.resource.name".
- Memetakan semua parameter di "requestParameters" dan "responseElements" ke "target.resource.attribute.labels".
- Untuk log yang memiliki "eventName" sebagai "createAccountResult", petakan "event_type" sebagai "USER_RESOURCE_ACCESS".
- Untuk log yang memiliki "eventName" sebagai "createAccount", petakan "event_type" sebagai "RESOURCE_CREATION".
2023-09-30
- tambahkan pemetaan baru untuk kolom berikut:
- Memetakan "req.requestParameters.durationSeconds" ke "target.resource.attribute.labels".
- Memetakan "req.requestParameters.policyArns" ke "target.resource.attribute.labels".
- Untuk log yang memiliki "eventName" sebagai "GetParameter", "GetParameters", "GetParameterHistory", "GetParametersByPath", "DescribeParameters":
- Memetakan "metadata.event_type" ke "RESOURCE_READ".
- Memetakan "req.requestParameters.withDecryption" ke "security_result.detection_fields".
- Untuk log yang memiliki "eventName" sebagai "DeleteParameters","DeleteParameter", tetapkan "metadata.event_type" ke "RESOURCE_DELETION".
- Untuk log yang memiliki "eventName" sebagai "PutParameter", tetapkan "metadata.event_type" ke "RESOURCE_PERMISSIONS_CHANGE".
- Untuk log yang memiliki "eventName" sebagai "EnableRegion" atau "DisableRegion", tetapkan "target.resource.name" dari "req.requestParameters.map.RegionName".
- Untuk log yang memiliki "eventName" sebagai "GetFederationToken":
- Memetakan "metadata.event_type" ke "RESOURCE_READ".
- Memetakan "req.responseElements.federatedUser.arn" ke "target.resource.name".
- Memetakan "req.responseElements.federatedUser.federatedUserId" ke "target.user.userid".
- Memetakan "req.responseElements.packedPolicySize" ke "security_result.detection_fields".
- Memetakan "req.responseElements.credentials.sessionToken" ke "security_result.detection_fields".
2023-09-15
- tambahkan pemetaan baru untuk kolom berikut:
- Memetakan "requestParameters.userName" ke "target.user.user_display_name".
- Memetakan "additionalEventData.SamlProviderArn" ke "additional.fields".
- Memetakan "eventSource" ke "metadata.ingestion_labels".
- Jika nilai "requestParameters.tagSpecificationSet.items.tags.key" adalah "Name", maka petakan "requestParameters.tagSpecificationSet.items.tags.value" ke "target.resource.name".
2023-08-24
- Untuk log yang memiliki "eventName" sebagai "CreateFirewall" dan "DeleteFirewall" :
- Memetakan "responseElements.firewallARN" ke "target.resource.name".
- Memetakan "responseElements.firewallId" ke "target.resource.product_object_id".
- Memetakan "responseElements.firewallName" ke "target.resource.attribute.labels".
- Memetakan "target.resource_subtype" sebagai "Firewall".
- Memetakan "target.resource.resource_type" sebagai "FIREWALL_RULE".
2023-08-24
- Untuk log yang memiliki "eventName" sebagai "CreateSubnet", tetapkan "metadata.event_type" ke "RESOURCE_CREATION".
- Memetakan "req.responseElements.subnet.subnetId" ke "target.resource.attribute.labels".
- Memetakan "req.requestParameters.cidrBlock" ke "target.resource.attribute.labels".
- Untuk log yang memiliki "eventName" sebagai "DeleteSubnet", tetapkan "metadata.event_type" ke "RESOURCE_DELETION".
- Memetakan "req.requestParameters.subnetId" ke "target.resource.attribute.labels".
2023-08-16
- Untuk log yang memiliki "eventName" sebagai "DeleteSecret", pemetakan "responseElements.arn" ke "target.resource.name".
2023-08-02
- Untuk log yang memiliki "eventName" sebagai "CreateTags", pemetaan "metadata.event_type" ke "RESOURCE_WRITTEN".
- Memetakan "responseElements.description" ,"requestParameters.name","requestParameters.tagSet.items", "requestParameters.attributeType" ke "target.resource.attribute.labels".
- Tetapkan "metadata.event_type" ke "RESOURCE_CREATION" untuk log yang memiliki "eventName" berikut:
- "CreateNetworkAcl","CreateVolume","CreatePublishingDestination","CreateIPSet","CreateThreatIntelSet",
- "CreateAddon","CreateRepository","CreateStack","CreateDomain","CreateCollection","CreateTable",
- "CreateDBInstance","CreateDBCluster","CreateDBSnapshot","CreateDBClusterSnapshot","PutConfigRule",
- "PutDeliveryChannel","CreateListener","CreateLoadBalancer","PutLoggingConfiguration","CreateTargetGroup",
- "CreateWebACL","RequestCertificate","CreateCluster"
- Tetapkan "metadata.event_type" ke "RESOURCE_WRITTEN untuk log yang memiliki "eventName" berikut:
- "MoveAccount","PutEventSelectors","PutInsightSelectors","UpdateIPSet","UpdateThreatIntelSet","CreateTags",
- "UpdateTable","ModifyDBInstance","StopDBInstance","StartDBInstance","RebootDBInstance",
- "StartDBCluster","StopDBCluster","ModifyDBSnapshotAttribute","ModifyDBClusterSnapshotAttribute",
- "AddListenerCertificates","ModifyLoadBalancerAttributes","SetSubnets","SetSecurityGroups",
- "ModifyListener","UpdateWebACL","ResendValidationEmail","ModifyInstanceAttribute",
- "StopInstances","StartInstances","RebootInstances"
- Tetapkan "metadata.event_type" ke "RESOURCE_WRITTEN" untuk log yang memiliki "eventName" berikut.
- "DeletePublishingDestination","DeleteIPSet","DeleteThreatIntelSet","DeleteRepository",
- "DeleteStack","DeleteCollection","DeleteDomain","DeleteTable","DeleteDBInstance","DeleteDBCluster",
- "DeleteDBSnapshot","DeleteDBClusterSnapshot","DeleteConfigRule","DeleteEvaluationResults",
- "DeleteTargetGroup","DeleteLoadBalancer","DeleteListener","DeleteLoggingConfiguration",
- "DeleteWebACL","DeleteCertificate","DeleteCluster"
- Tetapkan "metadata.event_type" ke "RESOURCE_PERMISSIONS_CHANGE" untuk log yang memiliki "eventName" berikut:
- "AssociateWebACL","DisassociateWebACL","AttachGroupPolicy","PutBucketAcl"
- Tetapkan "metadata.event_type" ke "RESOURCE_READ" untuk log yang memiliki "eventName" berikut:
- "GetPasswordData","GetSessionToken"
- "target.resource.resource_type" yang dipetakan dan kolom lainnya yang tidak dipetakan untuk nama peristiwa yang disebutkan di atas.
2023-07-18
- Untuk log dengan "eventName" berikut, pemetaan "metadata.event_type" ke "RESOURCE_CREATION".
- "EnableMacie","ConnectDirectory","RunInstances","CreateImage","CreateOrganization", "CreateNetworkInterface",
- "StartSSO","CreateEmailIdentity","VerifyDomainIdentity","VerifyDomainDkim","VerifyEmailIdentity",
- "CreateConfigurationSet","CreateSecret","ImportKeyPair","CreateAlias","CreateKey","CreateOrganizationalUnit",
- "CreateNetworkAcl","CreateVolume","CreatePublishingDestination","CreateIPSet","CreateThreatIntelSet"
- Untuk log dengan "eventName" berikut, pemetaan "metadata.event_type" ke "RESOURCE_WRITTEN".
- "UpdateMacieSession","PutAccountSendingAttributes","PutConfigurationSetSendingOptions","UpdateAccountSendingEnabled",
- "UpdateConfigurationSetSendingEnabled","UpdateSecret","DisableKey","EnableKey","CancelKeyDeletion",
- "MoveAccount","PutEventSelectors","PutInsightSelectors","UpdateIPSet","UpdateThreatIntelSet"
- Untuk log dengan "eventName" berikut, pemetaan "metadata.event_type" ke "RESOURCE_DELETION".
- "DeleteSnapshot","DeleteDetector","DeleteFlowLogs","DeregisterImage","TerminateInstances", "RESOURCE_DELETION",
- "DeleteNetworkInterface","DeleteSSO","DeleteBucketPublicAccessBlock","DeleteAccountPublicAccessBlock",
- "RemoveAccountFromOrganization","DeleteEmailIdentity","LeaveOrganization","DeleteConfigurationSet",
- "DeleteSecret","DeleteKeyPair","DeleteAlias","ScheduleKeyDeletion","DeleteNetworkAcl",
- "DeletePublishingDestination","DeleteIPSet","DeleteThreatIntelSet"
- Untuk log dengan "eventName" berikut, pemetaan "metadata.event_type" ke "RESOURCE_PERMISSIONS_CHANGE".
- "DetachRolePolicy","PutRolePolicy","PutResourcePolicy","PutCredentials","DeleteDirectory",
- "AuthorizeSecurityGroupEgress","AuthorizeSecurityGroupIngress","RevokeSecurityGroupEgress","RevokeSecurityGroupIngress",
- "ModifySnapshotAttribute","ModifyImageAttribute","CreateNetworkAclEntry","ReplaceNetworkAclAssociation","DeleteNetworkAclEntry"
- "target.resource.resource_type" yang dipetakan dan kolom lainnya yang tidak dipetakan untuk nama peristiwa yang disebutkan di atas.
- Menambahkan pemeriksaan null sebelum memetakan kolom "userIdentity.invokedBy".
2023-07-06
- Menambahkan pemeriksaan null sebelum memetakan kolom "userIdentity.invokedBy".
- Memetakan "requestParameters.instanceType","requestParameters.instancesSet.items.0.minCount","requestParameters.instancesSet.items.0.maxCount" ke "target.resource.attribute.labels".
2023-06-23
- memetakan log ke "metadata.event_type" yang lebih spesifik berdasarkan kolom "eventname".
- Memetakan "target.resource.resource_type" sebagai "VIRTUAL_MACHINE".
- Memetakan "requestParameters.status", "responseElements.certificate.status" ke "target.resource.attribute.labels".
- Memetakan "requestParameters.instanceId" ke "target.resource_ancestors.product_object_id".
- Memetakan "requestParameters.userName" ke "target.user.userid".
- Memetakan "target.resource.name" dan "target.resource.product_object_id" berdasarkan kunci yang ada di setiap "eventName".
- Memetakan "userIdentity.arn" ke "principal.resource.name".
- Memetakan "userIdentity.accountId" ke "principal.resource.product_object_id".
- Untuk log yang memiliki "eventName" sebagai berikut, pemetakan "metadata.event_type" ke "RESOURCE_CREATION".
- "CreateTrail","AllocateAddress","CreateVolume","CreateVirtualMFADevice","UploadSigningCertificate",
- "CreateAccessKey","UploadSSHPublicKey","CreateServiceSpecificCredential","UploadCloudFrontPublicKey",
- "CreateAnalyzer","CreateSAMLProvider","PutConfigurationRecorder","CreateRole","CreateInstanceProfile",
- "CreateExportTask","CreateLogGroup","EnableSecurityHub","CreateEnvironment","CreateSession","CreateServiceLinkedRole",
- "CreateSnapshot","CreateKeyPair","CreateSecurityGroup","CreateDetector","CreateFlowLogs",
- "EnableMacie","ConnectDirectory","RunInstances","CreateImage","CreateOrganization"
- Untuk log yang memiliki "eventName" sebagai berikut, pemetakan "metadata.event_type" ke "RESOURCE_WRITTEN".
- "StartLogging","StopLogging","AssociateAddress","DisassociateAddress","DetachVolume",
- "AttachVolume","ModifyVolume","EnableMFADevice","ResyncMFADevice","UpdateSigningCertificate",
- "UpdateAccessKey","UpdateSSHPublicKey","ResetServiceSpecificCredential","UpdateServiceSpecificCredential",
- "UpdateCloudFrontPublicKey","DisableRegion","EnableRegion","UpdateSAMLProvider","StartConfigurationRecorder",
- "StopConfigurationRecorder","PutRetentionPolicy","PutDataProtectionPolicy","UpdateDetector","UpdateMacieSession"
- Untuk log yang memiliki "eventName" sebagai berikut, pemetaan "metadata.event_type" ke "RESOURCE_DELETION".
- "DeleteTrail","ReleaseAddress","DeleteVolume","DeactivateMFADevice","DeleteVirtualMFADevice",
- "DeleteSigningCertificate","DeleteAccessKey","DeleteSSHPublicKey","DeleteServiceSpecificCredential",
- "DeleteCloudFrontPublicKey","DeleteAnalyzer","DeleteSAMLProvider","DeleteConfigurationRecorder",
- "DeletePolicy","DeleteRole","DeleteInstanceProfile","DeleteLogGroup","DisableSecurityHub","DisableMacie",
- "DeleteSnapshot","DeleteDetector","DeleteFlowLogs","DeregisterImage","TerminateInstances"
- Untuk log yang memiliki "eventName" sebagai berikut, pemeta "metadata.event_type" ke "RESOURCE_PERMISSIONS_CHANGE".
- "AttachUserPolicy","DetachUserPolicy","PutUserPolicy","DeleteUserPolicy",
- "PutUserPermissionsBoundary","DeleteUserPermissionsBoundary","AttachRolePolicy",
- "DetachRolePolicy","PutRolePolicy","PutResourcePolicy","PutCredentials","DeleteDirectory"
2023-06-09
- Mengubah ekspresi reguler untuk mengidentifikasi log Array JSON.
2023-06-07
- Memetakan semua kolom "principal.user" ke "target.user" untuk "eventName" sebagai "ConsoleLogin".
2023-05-26
- Log yang diuraikan dari berbagai pola JSON.
- Memetakan "cipherSuite" ke "network.tls.cipher".
- Memetakan "requestID" ke "target.resource.attribute.labels".
- Memetakan "assumedRoleId" ke "security_result.about.resource.name".
- Memetakan "roleSessionName" ke "target.resource.name".
- Memetakan "roleArn" ke "target.resource.product_object_id".
- Memetakan "userAgent" ke "network.http.user_agent".
- Memetakan "sourceIPAddress" ke "principal.ip".
- Memetakan "sessionIssuer.userName" ke "target.user.user_display_name".
- Memetakan "sessionIssuer.principalId" ke "target.user.userid".
- Memetakan "userIdentity.accessKeyId" ke "target.resource.product_object_id".
- Memetakan "userIdentity.arn" ke "security_result.about.resource.id".
- Memetakan "req.detail.Longitude" ke "_principal.location.region_longitude".
- Memetakan "req.detail.Latitude" ke "_principal.location.region_latitude".
- Memetakan "detail.resourceType" ke "target.resource.resource_subtype".
- Tetapkan "security_result.alert_state" ke "ALERTING".
- Memetakan "req.detail.recommendRemediation" ke "security_result.action_details".
- Memetakan "eventLog.detail.eventName" ke "metadata.product_event_type".
2023-02-23
- Memetakan "requestParameters.principalArn" ke "principal.resource.name".
- Memetakan "resources.ARN" ke "about.resource.name".
2022-11-24
- Perbaikan:
- Mengurai log format baru yang memiliki configurationItem dengan memetakan kolom berikut.
- Memetakan "configurationItem.awsAccountId" ke "principal.user.userid".
- Memetakan "configurationItem.resourceId" ke "target.resource.id".
- Memetakan "configurationItem.resourceType" ke "target.resource.resource_subtype"
- Memetakan "configurationItem.awsRegion" ke "target.location.country_or_region".
- Memetakan "configurationItem.configurationItemCaptureTime" ke "target.asset.attribute.creation_time".
- Memetakan "configurationItem.configurationItemStatus" ke "target.asset.attribute.labels".
- Memetakan "configurationItems.ARN" ke "target.resource.attribute.labels".
- Memetakan "configurationItems.availabilityZone" ke "target.resource.attribute.cloud.availability_zone".
- Memetakan "configurationItems.awsRegion" ke "target.location.country_or_region".
- Memetakan "configurationItems.awsAccountId" ke "principal.user.userid".
- Memetakan "configurationItems.configuration.activityStreamStatus" ke "target.resource.attribute.labels".
- Memetakan "configurationItems.configuration.allocatedStorage" ke "target.resource.attribute.labels".
- Memetakan "configurationItems.configuration.autoMinorVersionUpgrade" ke "target.resource.attribute.labels".
- Memetakan "configurationItems.configuration.backupRetentionPeriod" ke "target.resource.attribute.labels".
- Memetakan "configurationItems.configuration.copyTagsToSnapshot" ke "target.resource.attribute.labels".
- Memetakan "configurationItems.configuration.dbClusterResourceId" ke "target.resource.product_object_id".
- Memetakan "configurationItems.configuration.masterUsername" ke "principal.user.user_display_name".
- Memetakan "configurationItems.resourceName" ke "target.resource.name".
2022-10-13
- Untuk "eventName": "CreateAccessKey" memetakan kolom "responseElements.accessKey.accessKeyId" ke "target.resource.product_object_id".
- Untuk "eventName": "UpdateAccessKey" memetakan kolom "requestParameters.accessKeyId" ke "target.resource.product_object_id".
- Untuk "eventName": "DeleteAccessKey" memetakan kolom "requestParameters.accessKeyId" ke "target.resource.product_object_id".
- Untuk "eventName": "CreateUser" memetakan kolom "responseElements.user.userId" ke "target.user.product_object_id".
- Memetakan kolom "eventTime" ke "metadata.collected_timestamp".
2022-07-27
- Menambahkan eventType "QueryDatabase" dan memetakan kolomnya.
- Ketentuan yang diubah untuk principal.ip atau principal.host untuk menangani log baru.
- Mengubah pemetaan "requestParameters.roleArn", "requestParameters.registryId", "resources.accountId" dari "target.resource.id" menjadi "target.resource.product_object_id".
- Mengubah kondisi penguraian untuk "req_params" guna mengekstrak nilai.
2022-07-08
- Pemetaan yang diubah untuk "req.requestParameters.roleName" dari "target.user.role_name" menjadi "target.user.attribute.roles".
2022-07-06
- Mengubah pemetaan "req.awsRegion" dari "_principal.location.country_or_region" menjadi "_principal.location.name".
- Mengubah event_type dari "GENERIC_EVENT" menjadi "USER_LOGIN" untuk eventName "AssumeRole".
- Mengubah event_type dari "GENERIC_EVENT" menjadi "USER_RESOURCE_ACCESS" untuk eventNAme "PutImage" atau "GetDownloadUrlForLayer" atau "BatchGetImage".
- Mengubah event_type dari "GENERIC_EVENT" menjadi "USER_RESOURCE_DELETION" untuk eventName "DeleteNetworkInterface".
2022-06-06
- Untuk eventName "CreateUser/DeleteUser", kondisi yang diubah untuk menangani pemetaan src karena yang ada gagal untuk log baru.
- Mengubah kolom puserId untuk menangani log baru yang tidak diuraikan.
2022-05-27
- Peningkatan untuk memetakan elemen log mentah berikut ke elemen UDM:
- "awsAccountId" dipetakan ke "target.user.group_identifiers".
- "digestS3Bucket" dipetakan ke "target.resource.name".
- "digestS3Object" dipetakan ke "target.file.full_path".
- "previousDigestHashValue" dipetakan ke "target.file.sha256".
- "digestSignatureAlgorithm" dipetakan ke "event.idm.read_only_udm.additional.fields".
- "digestPublicKeyFingerprint" dipetakan ke "event.idm.read_only_udm.additional.fields".
- "logFiles.s3Bucket" dipetakan ke "about_resource.resource.name".
- "logFiles.s3Object" dipetakan ke "about_resource.file.full_path".
- "logFiles.hashValue" dipetakan ke "about_resource.file.sha256".
2022-05-27
- Peningkatan - Mengubah nilai yang disimpan di metadata.product_name menjadi "AWS CloudTrail".
13-04-2022
- Peningkatan untuk memetakan elemen log mentah berikut ke elemen UDM:
- Memetakan kolom "requestParameters.PublicAccessBlockConfiguration.IgnorePublicAcls", "requestParameters.CreateAccessPointRequest.PublicAccessBlockConfiguration.RestrictPublicBuckets", "requestParameters.CreateAccessPointRequest.PublicAccessBlockConfiguration.BlockPublicPolicy", "requestParameters.CreateAccessPointRequest.PublicAccessBlockConfiguration.BlockPublicAcls", "requestParameters.CreateAccessPointRequest.PublicAccessBlockConfiguration.IgnorePublicAcls", "additionalEventData.configRuleInputParameters.RestrictPublicBuckets", "additionalEventData.configRuleInputParameters.BlockPublicPolicy", "additionalEventData.configRuleInputParameters.BlockPublicAcls", "additionalEventData.configRuleInputParameters.IgnorePublicAcls" ke "target.resource.attribute.labels".